此文章主要向大家講述的是主流硬件DDOS防火墻防御功能對比，近年來，隨著木馬、病毒的肆意橫生，互聯網拒絕服務攻擊的頻度和攻擊流量也隨之急速增加，在攻擊方式、攻擊技術和攻擊資源不斷成熟的同時，抗拒絕服務的相關軟硬件產品也獲得了長足的發展。

現今的IDC市場基本上已經到了缺乏有效的拒絕服務攻擊防御手段將無法進行穩定的IDC業務運營的境地。

近年來，隨著木馬、病毒的日益泛濫，互聯網拒絕服務攻擊的頻度和攻擊流量也隨之急速增加，在攻擊方式、攻擊技術和攻擊資源不斷成熟的同時，抗拒絕服務的相關軟硬件產品也獲得了長足的發展?，F今的IDC市場基本上已經到了缺乏有效的拒絕服務攻擊防御手段將無法進行穩定的IDC業務運營的境地。

但拒絕服務防御產品種類繁多，價格差異也非常大，從幾百元安裝在目標服務器上對單臺服務器進行保護的軟件防火墻到幾萬甚至十幾萬元的百兆、千兆硬件防火墻，包括新出現的提供硬件防火墻方案并協助客戶DIY硬件防火墻的實惠的替代方案等，客戶往往無所適從，尤其對DIY硬件防火墻所使用的相關技術、防御能力等不了解，使其在選擇時往往無所適從。

在使用過各種拒絕服務攻擊DDOS防火墻防御產品和方案后，本文筆者將就現今主流的拒絕服務攻擊方式、相應防御手段及對應的防御策略來剖析現今各種主流攻擊防御手段的優劣因為拒絕服務攻擊，IDC行業進入門檻無形被提升了許多。對IDC市場了解的投資者在進行IDC機房投資時時不得不考慮相應的拒絕服務攻擊防御策略。目前可供選擇的拒絕服務攻擊(DDoS)解決方案大概分為：

1、 軟件防火墻解決方案

2、 硬件防火墻解決方案

3、 DIY硬件防火墻解決方案

第一節 成本比較

對于IDC運營而言，從成本和防御特點上分線，其優缺點如下：

1、 軟件防火墻解決方案因為是安裝在被保護的服務器上，其防御能力和防御區域有限，在攻擊流量稍大的情況下，對目標服務器硬件資源占用嚴重，且如果機房服務器數量較多，整體成本也很高。但軟件防火墻安裝方便，不用動硬件設備，部署很靈活。

2、 硬件防火墻是目前IDC廣泛采用且能起到實際效果的防御方案，其缺點是投資成本過高，中小IDC很難接受，購買成本一般在百兆產品在2-4萬元，千兆在6-8萬元左右。如果需要對高帶寬進行防御，群集成本更高。

3、 新出現的DIY硬件防火墻方案。和軟件防火墻不同，DIY硬件防火墻方案是通過安裝在客戶自行準備的硬件平臺上的內核軟件實現和一般硬件防火墻相同的防御能力和防御功能。由于硬件平臺有用戶自行準備，所以可以利用現有設備，將整體擁有成本降至最低。一般而言，百兆防御成本大概為1000元每機房每月，千兆防御為1500元每月。

對于防御能力而言，軟件防火墻因為其模式上的缺陷，無法對整個機柜或機房建立保護，過濾攻擊數據包時消耗的系統資源也會影響目標系統的正常應用，所以在這里不予評價。

現在硬件防火墻全部是X86架構，通俗來說，防火墻硬件就是一臺電腦，并不是專門用于網絡處理的專用處理芯片，和DIY硬件防火墻防御模式相同，均能對整個機柜和機房進行保護，并能群集防御高流量攻擊，所以我們將視線集中在硬件防火墻和DIY硬件防火墻上。

防御能力及整體擁有成本對比：

從擁有成本對表表格來看，硬件防火墻作為主流防御手段，其整體擁有成本也很高，作為折中方案的DIY硬件防火墻，其提供的按月收取服務費的方式倒是很好的解決了IDC面臨的資金壓力和投資風險等問題。

第二節 防御功能對比(攻擊方式篇)

談到防御功能，我們就不能不分析一下目前國內互聯網上主要的拒絕服務攻擊手段，現今互聯網上主要使用的攻擊手段有：SYN-FLOOD：老牌DDOS攻擊方式，利用TCP協議三次握手的弱點發起的攻擊，特點是攻擊源地址是虛假地址，不容易跟蹤到攻擊源。攻擊者在單位時間內構造的TCP-SYN數據包數量越多，其攻擊效果就越顯著。

單一原址SYN攻擊：針對目前群集DDOS防火墻防御利用三層交換設備(如Cisco三層交換機)進行端口聚合和負載均衡時均衡算法的漏洞，使用真實的或者虛擬成單一源地址和相同的源端口進行攻擊。此種攻擊方式在大部分三層交換設備上會通過單一線路進行交換，從而削弱群集防御的效果。

真實原址SYN攻擊：針對某些軟件防火墻和硬件防火墻的防御原理，專門針對防火墻的反向尋址防御方式發起的攻擊方式。最近兩年網絡傀儡機價值鏈的建立，使得真實原址SYN攻擊成為現在互聯網上較多的一種攻擊方式，攻擊者通過控制的眾多的傀儡機進行攻擊數據包的發送。

SYN大包攻擊：和一般SYN攻擊不同，SYN大包攻擊是通過構造超大的TCP數據包，造成被攻擊目標網絡堵塞的方式達到攻擊效果，和普通SYN不同，發起同樣流量的攻擊，發送超大數據包占用發送端的系統資源更少。

UDP大包攻擊：相對于TCP協議數據包而言，攻擊端僅需要更少的系統資源就能構建出UDP數據包，這也為攻擊者大肆發送UDP攻擊包提供了條件，UDP攻擊一般是通過超大數據包堵塞網絡帶寬來實現。

代理CC攻擊：最初由中華攻客的攻擊軟件引發的互聯網大量代理CC攻擊。通過收集互聯網上出現的大量免費開放代理服務器，通過對這些服務器提交大量針對攻擊目的地址的訪問請求，由代理服務器中轉進行的攻擊。代理CC攻擊因其發起端僅需要一條普通寬帶線路，其攻擊地址又是真實地址(代理服務器地址)，曾一度使得眾多網絡運營者深受其害。

SYN-ACK、PSH-ACK等：針對TCP連接的各種弱點發起的攻擊方式。

傳奇DB攻擊：專門針對傳奇數據庫的攻擊方式，也是由中華攻客最先寫的攻擊程序，其攻擊方式是模擬傳奇客戶段賬號創建動作，使得傳奇服務器癱瘓。

傳奇刷小人攻擊：通過不停的上下線和模擬登陸，使得傳奇服務器癱瘓。

以上的相關內容就是對主流硬件DDOS防火墻防御功能對比的介紹，望你能有所收獲。

【編輯推薦】

1. IPTV會否是分眾購對象
2. 我國IPTV研究目全球領先
3. 3G與IPTV是發展大方向
4. 我國IPTV研究目全球領先
5. 3G與IPTV是發展大方向